El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, analizó una serie de backdoors personalizados y herramientas de ciberespionaje no documentadas desplegadas en Israel por el grupo de APT POLONIUM
Bogotá – Investigadores de ESET, compañía líder en detección proactiva de amenazas, revelan sus hallazgos sobre un grupo de APT (amenaza persistente avanzada) sobre el cual hay poca información pública disponible y se desconoce cuál es el vector de compromiso inicial que utiliza. POLONIUM es un grupo de ciberespionaje que fue documentado por primera vez en junio de 2022 por MSTIC y de acuerdo a su evaluación, es un grupo con sede en Líbano que coordina sus actividades con otros actores afiliados al Ministerio de Inteligencia y Seguridad de Irán (MOIS).
Según la telemetría de ESET, POLONIUM ha sido utilizado en ataques dirigidos a más de una docena de organizaciones en Israel desde al menos septiembre de 2021, y la actividad más recientes del grupo se registró en septiembre de 2022. Los sectores a los que apunto este grupo incluyen ingeniería, tecnología de la información, derecho, comunicaciones, marketing y gestión de marca, medios de comunicación, seguros y servicios sociales. Los hallazgos, que fueron presentados a fines de septiembre en la conferencia Virus Bulletin 2022, incluyen las tácticas utilizadas por este grupo, así como detalles sobre una serie de backdoors que no habían sido documentados anteriormente.
Puntos destacados:
- Enfocado únicamente en objetivos israelíes, POLONIUM atacó a más de una docena de organizaciones en varios mercados verticales, como ingeniería, tecnología de la información, legal, comunicaciones, marketing, medios, seguros y servicios sociales.
- Según los datos de la telemetría de ESET el grupo ha utilizado al menos siete backdoors personalizados diferentes desde septiembre de 2021 a esta parte y al momento sigue en actividad.
- El grupo desarrolló herramientas personalizadas para tomar capturas de pantalla, registrar pulsaciones de teclado, espiar a través de la cámara web, abrir shells inversas, exfiltrar archivos y más.
- Para la comunicación a través de un servidor de comando y control (C&C), POLONIUM abusa de servicios comunes en la nube como Dropbox, OneDrive y Mega.
Pie de imagen: Cronología de los backdoors desplegados por POLONIUM
- Abundancia de herramientas: se observaron siete backdoors personalizados diferentes utilizados por el grupo desde septiembre de 2021, y también otros módulos maliciosos utilizados para registrar pulsaciones de teclado, tomar capturas de pantalla, ejecutar comandos de manera remota en el equipo víctima, tomar fotos a través de la cámara web o exfiltrar archivos.
- Herramientas personalizadas: en varios ataques llevados adelante por este grupo en un corto período de tiempo, se detectó que el mismo componente contenía cambios menores. En algunos otros casos se observó un módulo, escrito desde cero, que seguía la misma lógica que algunos componentes anteriores. Solo en unos pocos casos se observó al grupo usar herramientas o códigos disponibles de forma pública. Todo esto nos indica que POLONIUM crea y mantiene sus propias herramientas.
- Servicios en la nube: el grupo abusa de servicios en la nube como Dropbox, OneDrive y Mega para las comunicaciones de C&C (recibir comandos y exfiltrar datos).
- Componentes más pequeños: la mayoría de los módulos maliciosos del grupo son pequeños, con una funcionalidad limitada. En un caso, los atacantes usaron un módulo para tomar capturas de pantalla y otro para subirlas al servidor de C&C. Siguiendo el mismo criterio, al grupo le gusta dividir el código en sus backdoors, distribuyendo la funcionalidad maliciosa en varias DLL pequeñas, tal vez esperando que los defensores o investigadores no observen la cadena de ataque completa.
Para conocer los detalles técnicos de los módulos maliciosos CreepyDrive, Creepy
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:
https://open.spotify.com/show/
Visítanos en: @ESETLA /company/eset-latinoamerica